校园网网络规划设计方案

校园网网络规划设计方案内容摘要：

线速转发； 2）关键模块必须冗余，如管理引擎、电源、风扇。 由于校园网建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。 综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机 建议采用 多业务万兆核心路由交换机。 可以 根据用户的需求灵活配置，灵活构建弹性可扩展的网络。 多业务万兆核心路由交换机 高背板 带宽 和二 /三层包 转发 速率可为用户提供高速无阻塞的交换，强大的交换路由功能、安全智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。 RGS68100E 是锐捷网络推出的基于 NP+ASIC 构架的新一代多业务万兆核心路由交换机， RGS6800E 在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。 目前提供 10 竖插槽设计和 6 横插槽设计两种主机： RGS6810E 和 RGS6806E。 RGS6800E 系列多业务万兆核心路由交换机提供 ，并支持将来扩展到 ，高达 857Mpps/428Mpps 的二 /三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。 RGS6800E 交换机通过先进的第三代高性能引擎可硬件支持策略路由、 IPV6 等协议，并可扩展支持 MPLS、 load balancing、 NAT、 VPN、 Firewall、 IDS、 web cache redirect等丰富的业务功能，满足客户环境灵活而复杂的不同应用需求。 在此方案中，校区网络中心采用 RGS6810E 多业务万兆核心路由交换机作为核心交换机。 核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。 2．接入层 接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务 QOS 保证，用户接入访问控制等等。 楼层交换节 点采用千兆智能堆叠交换机，提供智能的流分类和完善的 QoS 特征。 为各 10 类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。 3．出口 因为校园网出口采用以太网，所以采用 路由器 + 防火墙 的方式 ，起到如下作用： 防火墙提供强有力的服务器、内网安全保护、提供 IDS 等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的 NAT 功能。 （二）网络架构设计 基于目前学校规模及发展的角度考虑，骨干网络采用单核心双引擎或双核心单引擎的拓扑结构，保证核心的稳定；在两栋实训楼采用万兆的三层汇聚设备，实训楼 6506 千兆连接接入交换机；服务器千兆接入到核心交换机上；百兆到桌面； 为了以后扩展的需要，所以 采用 RGWALL 1000 防火墙，并将校内的对外服务器与防火墙的 DMZ 区相连，保证良好的安全性；同时双核心时做 VRRP，防火墙双百兆连接核心，单百兆连接 Inter； 出于管理和安全方面角度考虑，在全网可采用 IP+MAC绑定方式，全网分布式采用 ACL，并按照部门划分 VLAN，划分相应的权限，保证学生机房用机对教学办公网没有访问权限，只能访问校内服务器及外网； IP 分配：在办公区采用静态 IP 划分，在学生区及移动性较大的办公区可补充性采用 DHCP 动态获得 IP 地址。 按照核心的架构， 才 用单引擎 单 核心， 采用 单 核心 单 引擎， 核心和引擎之间做冗余备份。 实训楼 的汇聚设备可 采用双链路连接核心设备， 作链路的冗余备份，如果其中任何一条链路出现故障，所有数据会切换到另外的链路上，保证校园网的畅通。 网络拓扑规划图如下： 11 C e r n e t数 据 库O VV O DD N SF T P财 务 数 据教 学 楼实 训 楼O A1 0 0 0 M 光 纤 链 路 （三）扩展的考虑 备份线路带宽扩展：在未来升级考虑中，可将核心与汇聚间千兆备份线路带宽升级至10G 带宽，以提高备份线路的连接带宽。 实训楼交换机可扩充为 96 个千兆口，拥有很强的接入扩展功能。 （四）网络 VLAN 的设计 在 校园网络 的整个网络规划当中， VLAN 的划分是非常重要的部分，很好的利用 VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。 主要突出为以下几点：  VLAN 划分，可以避免广播风暴，在 骨干网络中 尤为突出，在多媒体、视频点播等很容易引起广播信息；划分之后， VLAN 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。  VLAN 划分，可以增加网络的安全性，在不同的 VLAN之间不能随意通讯，只限与 本子网 12 间通讯，不会对其他的子网产生干扰。 要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。  网络管理系统采用完全独立的 IP子网和 VLAN，实现更加安全的对所有网络设备进行管理。 建立 VLAN 和 IP 子网的对应关系。  提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。  VLAN 间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在汇聚设备 上实行，分流核心交换机的三层交换，优化了组网。 根据以往网络管理经验和骨干网络网络建设的实际情况，方案建议在骨干网络 VLAN划分规划以“灵活划分、方便管理”为基本原则，以不同的使用群体为 VLAN 范围划分。 这样划分 VLAN 的好处有： 方便管理。 为了更好的进行 VLAN 规划的实施，因此在网络实施前期，要对网络中不同区域的 VLAN 设置进行详细的规划，细化到接入层网络，这样在骨干网络这样大型的校园网络中如果以用户群体来划分 VLAN 的话，避免由于前期配置设备时复杂烦琐，而且由于相同的用户群体可能在不同的物理位置 ，导致造成整个校园网络中 VLAN 划分复杂，减轻管理和后期维护。 所以方案建议骨干网络划分 VLAN 方式前进行详尽规划，这样既可以减少广播域，又达到划分 VLAN，方便管理的效果，对于后期网络维护和升级具有十分现实的意义。 易于实施。 按群体划分 VLAN 在工程实施中就十分的方便，不会造成 VLAN 划分复杂失误而使得网络出现不通的现象，便于工程快速实施和网络中心整体规划。 VLAN 间路由采用三层交换设备进行 VLAN 路由。 以便不同 VLAN 间进行访问，对于学校重要网络资源，需要进行权限访问的时候，建议采用专家级 ACL（可同时基于VLAN 号、以太网类型、 MAC 地址、 IP 地址、 TCP/UDP 端口号、时间灵活组合限定的硬件 ACL）来进行访问权限设定，保障重要资料不被非法访问。 （五）网络 QoS 设计 为确保用户各种关键业务的正常开展，必须采取全面而系统的 QoS 设计 (提供端到端QoS 服务 )，以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时；为了保证端到端用户的服务质量，因此要求端到端数据流经的所有网络设备都支持实施的QoS 策略，核心设备是多个服务器接入的设备，并且担负着全网数据的交换， QoS 的能 13 力影响着全网的服务 质量保障能力。 锐捷各款交换机都支持丰富的 QoS 功能，能确保重要业务量不受延迟或丢弃，同时又充分利用现有的带宽以保证网络的高效运行。 例如，将下载一个大型文件的任务设置到交换机一个端口，而在该交换机的另外一个端口进行语音通信，为减少语音通信时延，保证通话质量，可在整个网络中对各种业务进行分类和优先级划分。 例如 Web 浏览，可以作为低优先级对待，或者“尽力而为”地进行处理。 在 骨干网络 网络中，由于信息资源集中于 骨干网络 网络中心，为保证全网的 QoS，要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的 QoS 标注方案，而二层的 标记对于 骨干网络 这样的网络并没有实际意义，因为 的标记不能在交换机之间传递，只能在本机上有用。 锐捷网络的 RGS6810E 多业务万兆核心路由交换机 支持基于基于 DiffServ 标准为核心的 QoS 保障系统，支持 IP TOS、 SP、 WRR 等完整的 QoS 策略，实现基于全网系统多业务的 QoS 逻辑，另外提供灵活的端口队列管理机制，端口多级拥塞设置。 具备 MAC 流、IP 流、应用流、时间流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以 及不同应用所需要的服务质量特性，提供服务。 通过从核心到接入设备全程对 QoS 的良好支持，全部硬件提供二到四层数据流交换，实现应用感知的功能，给予多媒体办公应用提供透明的 QoS 保障。